Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar
‘Wirte’ Tehdit Aktörü, Kurbanın İsrail’de Olup Olmadığını Kontrol Eden Silecek Kullandı
David Perera (@daveperera) •
12 Kasım 2024
Ekim ayında hastaneler ve belediyeler de dahil olmak üzere İsrailli kuruluşlara yönelik tespit edilen silici saldırıların arkasında muhtemelen Filistinli militan Hamas’la bağlantısı olan bilgisayar korsanları vardı.
Ayrıca bakınız: İsteğe Bağlı | 2024 Kimlik Avı Analizleri: 11,9 Milyon Kullanıcı Davranışı Riskiniz Hakkında Neleri Ortaya Çıkarıyor?
Salı günü İsrailli siber güvenlik firması Check Point, saldırıları Wirte olarak takip edilen bir gruba bağladı; bu grup aynı zamanda TA40, Molerats ve Gazze Siber Çetesi olarak da takip edilen tehdit aktörleriyle örtüşüyor.
İsrail ve Hamas, Filistinli milliyetçi grubun 7 Ekim 2023’te şiddetli bir saldırıyla Gazze-İsrail bariyerini aşmasından bu yana silahlı çatışmaya kilitlenmiş durumda. Lübnan’a yayılan çatışma, siber faaliyetleri açısından dikkat çekici değil (bkz: Patlayan Hizbullah Çağrı Cihazları Muhtemelen Siber Güvenlik Saldırısı Değil).
Check Point, savaşın Wirte’nin faaliyetlerini kesintiye uğratmadığını belirterek, grubun Filistin Yönetimi, Ürdün, Irak, Mısır ve Suudi Arabistan’a karşı kimlik avı destekli siber casusluk operasyonları başlatmaya devam ettiğini belirtti. İsrail hedeflerine yönelik yıkıcı saldırıları saklı tutar.
Bu tür saldırılardan biri, Ekim ayında Slovak siber güvenlik firması Eset’in İsrailli bir bayisinin ele geçirilen e-posta hesabı kullanılarak gerçekleştirilen kimlik avı saldırılarını içeriyordu. E-postalar, Şubat ayında İsrail Ulusal Siber Müdürlüğü’nün kimliğine bürünen kimlik avı saldırıları dalgasında tespit edilen SameCoin Wiper’ın bir versiyonunu içeriyordu.
Check Point, “Kötü amaçlı yazılımdaki küçük değişikliklere ek olarak, yeni sürüm yalnızca Wirte kötü amaçlı yazılımında görülen benzersiz bir şifreleme işlevi sunuyor” diye yazdı. Kötü amaçlı yazılımın kurulum dosyası, yalnızca ülke içinden erişilebilen askeri bir web sayfasına bağlanarak hedef bilgisayarların İsrail içinde bulunduğunu kontrol ediyor. Windows sürümü, kurbanların bilgisayarlarına Hamas yanlısı bir propaganda videosu, Hamas duvar kağıdı, bir silme bileşeni ve yükleyiciyi aynı ağdaki diğer makinelere kopyalamaya çalışan bir görev dağıtıcısı bırakıyor.
Proofpoint araştırmacıları Kasım 2023’te SameCoin’in ayrıca IronWind adlı bir kötü amaçlı yazılım yükleyiciyle kod paylaştığını söyledi. IronWind ve SameCoin silicisindeki şifreleme işlevinin karşılaştırılması, “her iki aracı da aynı aktörün geliştirdiğini ve muhtemelen aynı ortamda derlendiğini gösteriyor.”
Araştırmacılar, Write Group’u ilk olarak 2019 yılında tespit ederek, grubun 2018 yılından bu yana aktif olduğunu yazdı.